Sie sind hier: Startseite Artikel Nachrichten Uniwebseiten sollten Zertifikate …

Uniwebseiten sollten Zertifikate aktualisieren

erstellt von Jan Leendertse Veröffentlicht 27.11.2018 08:45, zuletzt verändert: 14.03.2019 12:08
Im August 2018 setzte die „Internet Engineering Task Force“ (IETF) einen neuen Standard für die Verschlüsselung von Webseiten: TLS 1.3. Die IETF bestimmt wichtige technische Grundlagen des Internets. Außerdem wurden alte Standards abgeschafft. Davon sind auch vielen Webseiten an der Universität betroffen. Laut Beschluss der IETF soll mindestens TLS 1.2 eingesetzt werden, besser noch TLS 1.3, nun offiziell vom Draft zum Standard ernannt.
Uniwebseiten sollten Zertifikate aktualisieren

IETF-Logo

Rechenzentrum war schneller

Einen ähnlichen Beschluss fasste die Leitung des Rechenzentrums bereits im Februar 2018. In diesem wird in einer ersten Phase für Webseiten bestimmt, die vom Rechenzentrum betreut werden, mindestens TLS 1.1 einzusetzen, besser aber noch TLS 1.2. Die Verpflichtung zu TLS 1.3 ist im RZ-Beschluss noch nicht vorgesehen, weil die IETF diesen Versionsstand erst später offiziell machte.

Warum soll mit aktuellen Versionen verschlüsselt werden?

Es gibt mehrere Gründe, den aktuelle Stand von TLS einzusetzen.

In älteren Versionen gibt es Sicherheitslücken, die nicht mehr geschlossen werden. Sie gelten nicht mehr als Standards, Patches zum Schließen werden daher nicht mehr ausgeliefert. Einige Lücken liegen in der Architektur älterer Verschlüsselungssuiten begründet und können auch mit hohem technischen Aufwand nicht mehr geschlossen werden.

Solche Lücken lassen mehrere Angriffsvektoren offen. So lässt sich die Kommunikation zwischen einem Webserver und dem abrufenden Client wie beispielsweise einem Webbrowser entschlüsseln und von Zwischenstationen auslesen. Das ist ein großes Problem für alle Webdienste, bei denen ein Passwort im Webbrowser eingegeben und an den Server übertragen wird. Ein weiteres Szenario ist die Ausstellung eines Webzertifikats auf eine falsche Organisation. Kommt einem eine Webseite oder die Domain verdächtig vor und überprüft das gefälschte Zertifikat, wird man trotz anfänglicher Verdachtsmomente überzeugt, sensible Daten den falschen Leuten anzuvertrauen.

Kriminelle scannen Webseiten gerne nach Zertifikaten mit Lücken, um den Webserver nach Lücken zu durchsuchen. Und in einem gängigen System, das schlecht gewartet ist, finden Angreifer mit hoher Wahrscheinlichkeit schnell eine Lücke. Dann sind Passwörter in Gefahr oder der Webserver wird für energiefressendes Blockchain-Mining missbraucht, um zwei Beispiele zu nennen.

Das Alter

Als Begründung für den Einsatz alter Verschlüsselungssuiten wird gerne ins Feld geführt, älteren Browserversionen den Zugang offen zu halten. Aber die von der IETF für obsolet erklärten Versionen sind seit 12 Jahren und mehr auf dem Markt. Der Anteil von alten Versionen von Firefox, Chrome, Internet Explorer liegt inzwischen im Bereich der statistischen Insignifikanz. Es ist nicht notwendig, bewusst in Webservern alte Versionen der Verschlüsselung mitlaufen zu lassen. Sie untergraben die Sicherheit des Webservers, nur um theoretisch alten Browsern Zugriff zu geben, die auf der anderen Seite der Verbindung die Sicherheit des Clients untergraben.

Anbieter wie Apple oder Google, über die ein sehr großer Anteil des Internetverkehrs läuft, setzen seit einiger Zeit nur noch TLS 1.2 und höher ein. Und deren Nutzerzahlen sind seitdem nicht zurückgegangen. Diesen Vorbildern kann man durchaus folgen.

Wie Updaten?

Die Mozilla-Foundation, die den Firefox-Browser programmiert, bietet eine nützliche Hilfe, um Webserver sicher zu konfigurieren. Dort wird ein Formular angeboten, das automatisch eine Konfiguration erzeugt, die zum eigenen Webserver passt. Es müssen nur Schaltflächen über Software und Version des Webservers angekreuzt werden. Die generierte Konfiguration kann per Copy-Paste übernommen werden.

Das Rechenzentrum

Die meisten Webpräsenzen der Universität werden vom Rechenzentrum über das Content-Managesystem direkt betreut oder auf Systemen betrieben, die im RZ untergestellt sind.

Bei den direkt betriebenen Plone-Instanzen hat die Umstellung auf neuere TLS-Versionen bereits begonnen. Wann die Umstellung abgeschlossen ist, lässt sich nicht mit Bestimmtheit angeben. Sie folgt keinem fixen Plan, sondern geschieht situativ, wenn einzelne Webpräsenzen anderweitig angefasst werden oder wenn die sonstige Auslastung es zulässt.

Für die Webseiten in eigener Betreuung heißt es, selbst tätig zu werden. Dies gilt ebenso für Webseiten, deren Pflege an externe Agenturen ausgelagert wurde. Die Verantwortung liegt auch in diesem Fall weiterhin beim inhaltlich Verantwortlichem.

Prüfen eigener Zertifikate

Wie es um die eigenen Zertifikate bestellt ist, kann aus dem Uninetz schnell nachgeprüft werden. Unter dem Link http://www.rz.uni-freiburg.de/go/ssl-scan kann ein Hostname eingegeben werden. Nach kurzem Rechnen wird das Zertifikat eingestuft auf einer Skala von A bis F. Sie orientiert sich am Bewertungsschema von SSLlabs, das weltweit als Referenz für die Qualität eines Zertifikats herangezogen wird.

Ein Ergebnis A fasst zusammen, dass die Verschlüsselung einer Webseite dem Stand der Technik entspricht. Es ist nur erreichbar mit TLS 1.2 oder 1.3. Ältere Verschlüsselungssuiten führen zu schlechteren Resultaten und zeigen deutlichen Verbesserungsbedarf.

Jan Leendertse, Jan Schopper

Bildnachweis

Logo der IETF: The IETF Trust - http://www.ietf.org/images/logos/, Gemeinfrei, https://commons.wikimedia.org/w/index.php?curid=30062957

 

Update am 14.03.2019: Korrektur des Links auf SSL-Scan im vorletzten Absatz

abgelegt unter: